以资产为中心的主机安全感知与防护
作者: 日期:2021年09月06日 阅:2,938

随着云化速度的加快,企业中承载重要业务和数据的主机开始急剧增加。据相关统计,2020年中国政府和大型企业上云率高达43%,预计2023年上云率将达到60%,行业呈高速增长态势,对应部署在云服务器上的应用也在以几何级增长。

传统网络边界不复存在,资产暴露面变得不可控制,主机面临的威胁同步加剧。根据国家互联网应急响应中心统计,2020年全年捕获恶意程序样本数量超过4,200万个,日均传播次数达482万余次,境内感染计算机恶意程序的主机数量约534万台,位于境外的约5.2万个计算机恶意程序控制服务器控制了我国境内约531万台主机。

庞杂的混合云环境中,如何全面、实时、深入掌握核心资产的情况并有效管理服务器主机安全,是各企业机构面临的共同难题。国际权威咨询公司Forrester首席研究专家Andras Cser表示,企业普遍诉求集中在拥有更强检测、可视化分析和响应能力的主机工作负载统一防护管理平台。介于上述行业背景,本期发布牛品推荐——长亭牧云(CloudWalker)主机安全管理平台。

牛品推荐第十八期

01标签

主机安全、资产管理、实时入侵检测、风险评估、HIDS、CWPP

02用户痛点

1、资产设备管理混乱

IT资产的发现和管理一直是个难题,据统计,拥有1000名以上的员工或者1000台设备以上的企业,大约有10%~15%的设备不知道归属。云计算的快速发展,让传统封闭的IT环境不复存在,几乎所有企业都存在IT资产的灰色地带:

  • 无主资产
  • 没人知道的IP
  • 不知道谁创建的账号
  • 没必要开放的服务、端口
  • 已知资产上的未知版本程序
  • 不能及时跟踪的异常变更

2、缺乏有效漏洞修复措施

在发现资产后,企业对主机进行全面的脆弱性评估并及时修复,能有效减少资产风险暴露面。面对安全产品扫描出的漏洞,安全运维人员往往希望系统能进一步评估严重程度,同时提供修复建议,但现实却常常是漏洞一大堆,建议全无,下一步的安全往往需要安全运维人员凭借经验、感觉来确定漏洞修复加固的先后顺序和步骤。

3、主机安全形势不容乐观

攻防对抗是永恒的话题,主机是攻击者的最终目标,在主机上检测入侵行为可谓是系统安全的最后一道保障,与此同时,主机上的安全形势却不容乐观。

03解决方案

长亭牧云( CloudWalker)是基于Agent的深度主机安全检测与分析管理平台,集资产管理、入侵检测、风险感知三大维度20余项防护功能于一体,形成具有精准预测、实时监测、快速检测、多维分析、自动响应的安全管理体系,能帮助企业全方位掌握服务器安全态势。

1、全面、快速的资产管理

牧云( CloudWalker)通过在服务器上部署轻量级探针,白盒视角多维度收集并集中化管理主机各类资产,打造一张全面、详尽、清晰的资产图谱,满足多种资产管理场景需求。同时资产全面关联平台中的入侵检测、风险感知等功能模块,在安全事件发生时帮助用户快速、精准定位风险资产,获取风险信息,实现对资产的动态保护。

2、深入、准确的入侵检测

牧云( CloudWalker)依托于对操作系统的动态监控,通过采集进程创建、执行命令、文件变动、系统认证、监听端口、网络连接、DNS请求、系统日志等多种关键事件,对入侵行为进行持续监控与扫描,提供完备的入侵检测能力。

3、多维、全生命周期的风险感知

牧云( CloudWalker)持续监控与分析主机资产的漏洞、补丁、弱口令、合规基线等脆弱性,实时发现未知威胁及失陷主机。平台提供全网威胁情报与现网情报关联整合能力,为基于真实状态的风险评价提供支持,从而帮助用户全面清晰的了解现网资产存在的安全风险。

牧云( CloudWalker)在不同阶段调度系统资源和数据资源,形成三层闭环管理,还可以与第三方运维平台或工单平台资源联动,根据用户角色和职责给各部门责任人推送处置工单,安全职责落实到人,实现安全资产及风险的持续跟踪管理。

04产品特色

牧云(CloudWalker)依托创新算法的安全架构及功能,可有效解决传统HIDS类产品对于新型网络入侵技术所缺乏的应对检测手段,并通过高效的预防、检测、防护和响应能力,帮助企业快速精准地发现、解决全网安全威胁和入侵事件。

1、多种入侵检测算法交叉验证,精准度高

牧云(CloudWalker)结合静态分析、行为分析、动态沙箱模拟等多种手段对入侵行为进行深度检测,检测范围可全面覆盖高强度攻击与高隐秘性攻击手法;采用触发式被动检测技术,实时判断恶意行为,秒级上报安全事件;支持对关键行为进行自动隔离、手动隔离、自动封停等操作。所有入侵检测功能均具备高度自定义的能力,对于不同的服务器支持设置不同的检测策略,允许用户在内置的检测算法之外补充自身企业特有的检测规则。

2、自动检测与分析容器安全

牧云(CloudWalker)集主机安全与容器安全为一体,无需单独部署,即可实现对容器内部安全事件的全面监控与深度防护能力;支持对容器资产进行资产监测、漏洞检测、配置核查、入侵检测;对云工作负载进行全面安全管控。

3、探针非Root权限运行

牧云(CloudWalker)的探针设计架构,在运行阶段为系统的稳定性和安全性提供多重保障。并使用基于Capability的非Root权限,实现轻量级运行,既能使探针具有强大的安全监控能力,又能保证探针行为对操作系统“零”影响。探针的分层设计架构具备良好的调度机制,可严格控制对CPU、内存、磁盘、网络等资源的占用:通常情况下CPU使用率低于2%,内存使用率低于80M。同时,牧云(CloudWalker)提供资源使用阈值自定义能力,用户可根据实际业务情况,灵活分配探针资源,减少不必要的资源消耗。

4、实时精准溯源

牧云(CloudWalker)支持记录发生在服务器上的多种原始事件,包括:命令执行记录、进程启动记录、账号变更记录、系统登录记录、端口监听记录等。发生攻击后,用户可通过以上原始记录完整还原黑客的入侵行为,从而发现问题,实现攻击复盘和精准的攻击溯源,并有效推进漏洞的修复工作。

5、全量主机伪装欺骗

探针具备微蜜罐能力,持续监听网络端口,在真实服务器资产模拟真实业务,感知网络攻击流量,同时支持与高交互蜜罐系统联动集成,进行攻击流量牵引、主机威胁感知、攻击行为分析,再通过攻击流量牵引的方式将攻击者引入由高交互蜜罐组成的蜜网中取证溯源和反击。

6、集群部署

平台基于K8S的长亭滑板车底座,具有自动装箱、自由伸缩、水平扩展、智能调度计算资源的特点。功能模块均支持高可用,依赖分布式底座实现业务迁移。全新的集群架构可提供更加稳定、安全的主机安全解决方案。

05用户反馈

“长亭科技具有多年的安全攻防经验,通过POC测试对比,牧云在反弹Shell、WebShell、恶意命令行为检测的事件上报准确程度更高。另外,我们服务器上已经安装了两个Agent程序,一直担心探针兼容性和资源占用,探针非Root权限和轻量化的架构,有效帮助安全部门在保证安全管控的同时降低业务连续性风险。”

——某金融行业客户

“我们非常关心业务系统上线后的风险管理,对于主机安全产品更加关注安全攻防场景的检测效果。长亭牧云的入侵检测效果更好一些,同时还支持对容器环境的安全评估和入侵检测,产品性价比很高。”

——某互联网金融客户

“之前采购的主机安全产品将Linux和Windows分开管理,使用上十分不方便,而且检测规则可自定义程度不高。牧云资源占用少、安全策略也都完全开放,更重要的是可以将不同系统类别的服务器和容器资产统一管理,对我们安全人员更友好。”

——某互联网客户

安全牛评

主机系统作为承载企业数字化业务运转的底层平台,既为内部和外部用户提供各种服务,同时又担负处理和存储各类敏感数据的任务,其重要性不言而喻。安全牛调研发现,随着新技术及应用的快速发展,企业的各类终端(服务器、虚拟主机、托管主机、云主机、移动终端等)资产数量成倍增加,主机资产及风险管理成为企业安全管理的重点和难点。

新一代的主机管理系统除具备资产管理、漏洞管理、安全日志收集能力之外,还应通过机器学习及大数据分析技术,增强实时监控和响应能力,以帮助企业精准预测风险,快速感知威胁,通过自动化响应能力提升安全运营的效率。


相关文章